Pista de Auditoría en Sinatura Electrónica: Guía 2026

Introdución: por que a pista de auditoría é indisociable da sinatura electrónica

Desde a entrada en vigor do regulamento eIDAS en 2016 e a súa evolución cara eIDAS 2.0, a cuestión da proba dixital convertéuse en central para calquera organización que recurra á sinatura electrónica. A pista de auditoría constitúe o rexistro cronolóxico e inalterábel de cada etapa do proceso de sinatura. Responde a unha pregunta fundamental: en caso de litigio, es capaz de demostrar, sen ambigüidade, que o teu sinatario consentiu realmente este documento, neste instante preciso, desde este terminal identificado? Esta guía detalla a estrutura, as exixencias legais e as mellores prácticas da pista de auditoría en 2026.

---

Que é unha pista de auditoría en sinatura electrónica?

Definición e compoñentes esenciais

Unha pista de auditoría é un rexistro de eventos datacado, estruturado e criptograficamente asegurado que rastrea a integridade do ciclo de vida dun documento asinado electronicamente. Non se trata dun simple ficheiro de log: é un artefacto probatorio destinado a ser producido ante un xuíz, un regulador ou un auditor de contas.

Os compoñentes mínimos dunha pista de auditoría conforme inclúen:

• Identidade das partes: enderezo de correo electrónico, número de teléfono utilizado para OTP, enderezo IP no momento da sinatura
• Datacado cualificado: marca temporal proporcionada por unha Autoridade de Certificación (AC) acreditada eIDAS, garantindo a hora legal
• Pegada criptográfica do documento: hash SHA-256 ou SHA-3 calculado antes e despois da sinatura para atestar a integridade
• Accións realizadas: apertura do documento, páxinas visualizadas, duración da consulta, clic de sinatura, recusas eventuais
• Xeolocalización e datos de contexto: axente de usuario do navegador, sistema operativo, coordenadas GPS se están consentidas
• Cadea de certificados: certificados X.509 dos sinatarios e do provedor de servizos de confianza (PSCo)

A diferenza entre pista de auditoría simple e pista de auditoría cualificada

Non todas as pistas de auditoría teñen o mesmo valor. Unha pista de auditoría simple (nivel SES — Simple Electronic Signature) rexistra os eventos sen garantía dunha integridade criptográfica forte. Pode ser suficiente para actos de baixo valor xurídico (confirmacións de recepción, inquéritos internos).

Unha pista de auditoría cualificada (nivel QES — Qualified Electronic Signature) integra:

• Un datacado cualificado conforme ao artigo 41 do regulamento eIDAS
• Unha sinatura do rexistro en si mesmo polo PSCo con certificado cualificado
• Un arquivo a longo prazo segundo a norma ETSI EN 319 122 (CAdES) ou ETSI EN 319 132 (XAdES)

Esta distinción é crítica: só o segundo nivel se beneficia dunha presunción de fiabilidade ante os tribunais europeos, conforme ao artigo 25 §2 de eIDAS.

---

Valor probatorio da pista de auditoría: o que di a xurisrudencia

O inverso da carga da proba

En dereito francés, o artigo 1366 do Código Civil establece o principio de equivalencia entre a sinatura electrónica e a sinatura manuscrita, sempre que sexa garantida a identidade do sinatario e a integridade do acto. O artigo 1367 precisa que a fiabilidade do procedemento de sinatura presúmese ata proba en contrario cando se utiliza unha sinatura cualificada.

Isto significa concretamente: se a túa pista de auditoría é completa, datacada e criptograficamente íntegra, é á parte adversa á que lle corresponde demostrar o fraude ou a alteración — e non a ti probar a autenticidade. Este inverso da carga da proba é unha vantaxe considerable en litigios comerciais ou laborais.

Os criterios retidos polos tribunais franceses

As xurisdicións francesas, nomeadamente a Corte de Casación nos seus pronunciamentos recentes (Civ. 1re, 2022), aprecia o valor dunha pista de auditoría segundo varios criterios:

1. A rastrexabilidade integral: cada acción debe ser rexistrada sen laguna temporal
2. A inmuabilidade: o rexistro debe estar protexido contra calquera modificación posterior (sinatura do log polo PSCo)
3. A independencia do provedor: a pista de auditoría producida por un terceiro de confianza cualificado (PSCo acreditado pola ANSSI) ten máis forza probatoria ca un rexistro auto-producido
4. A lexibilidade: o documento debe ser comprensible por un maxistrado non-técnico, cunha presentación clara dos eventos

Os riscos en caso de pista de auditoría incompleta

Unha pista de auditoría incompleta expón a organización a varios riscos:

• Nulidade da proba: o xuíz pode rexeitar o documento se a identidade do sinatario non pode ser establecida con certeza
• Reversión do litigio: o sinatario pode alegar que nunca leu o documento ou que actuou baixo coerción, sen que poidases refutar
• Sancións regulatorias: nos sectores regulados (banca, seguros, sanidade), a ausencia dunha pista de auditoría conforme pode provocar multas da ACPR ou da CNIL
• Responsabilidade do provedor: se o teu fornecedor SaaS non conserva as pistas de auditoría segundo os estándares requiridos, podes actuar contra el, pero o daño mercantil segue sendo responsabilidade túa

---

Arquitectura técnica dunha pista de auditoría robusta en 2026

Datacado cualificado e integridade criptográfica

O datacado cualificado (RFC 3161) é a columna vertebral de calquera pista de auditoría seria. Unha Autoridade de Datacado (TSA — Time Stamping Authority) certificada xera un token de tempo asinado criptograficamente, vinculando a pegada do documento a unha hora legal precisa á milisegunda. En 2026, os estándares recomandan o uso do algoritmo SHA-3 (256 ou 512 bits) para novas implementacións, SHA-256 seguindo sendo aceptábel para arquivos existentes.

A norma ETSI EN 319 401 (Política Xeral para os PSCo) e ETSI EN 319 421 (Política para as TSA) definen as exixencias mínimas. Unha pista de auditoría conforme a estas normas é automaticamente recoñecida nos 27 Estados membros da UE.

Conservación a longo prazo e arquivo probatorio

A duración da conservación da pista de auditoría debe estar aliñada coa duración de prescrición dos litigios relacionados co acto asinado:

• Contratos comerciais: 5 anos (prescrición de dereito común, art. 2224 C.civ.)
• Contratos de traballo: ata 5 anos despois do fin do contrato
• Actos inmobiliarios: 30 anos (prescrición inmobiliaria)
• Documentos financeiros: 10 anos (Código de Comercio, art. L.123-22)

Para garantir a lexibilidade a longo prazo, o formato PDF/A-3 (ISO 19005-3) é recomendado para a encapsulación da pista de auditoría, acoplado cun archivo en soportes WORM (Write Once Read Many) ou nun caixafuerte dixital conforme á norma NF Z42-020.

Integración en workflows de negocio via API

En 2026, as solucións de sinatura electrónica maduras expón API REST ou webhooks permitindo recuperar a pista de auditoría en tempo real e integarla nos sistemas de arquivo existentes (GED, ERP, SIRH). Este enfoque evita a dependencia dun só provedor e facilita a portabilidade das probas.

Os eventos tipicamente expostos via API inclúen: `document.created`, `signature.invited`, `document.opened`, `signature.completed`, `document.declined`, `document.expired`. Cada evento leva a súa propia sinatura HMAC permitindo verificar a súa autenticidade no lado do cliente.

Para explorar as diferentes solucións do mercado e as súas capacidades de auditoría, consulta o noso comparatiu das solucións de sinatura electrónica que detalla as funcionalidades de pista de auditoría de cada plataforma.

---

Boas prácticas para optimizar a túa pista de auditoría na empresa

Configurar os niveis de sinatura segundo o risco

Non todos os documentos requiren o mesmo nivel de rastrexabilidade. Unha política de gobernanza documental debe definir:

| Tipo de acto | Nivel de sinatura | Exixencias de pista de auditoría | |---|---|---| | NDA / acordo de confidencialidade | Avanzado (AES) | IP, correo electrónico, OTP, datacado | | Contrato de traballo | Avanzado (AES) | + verificación de identidade reforzada | | Acto notarial / inmobiliario | Cualificado (QES) | + TSA cualificada, arquivo 30 anos | | Consentimiento RGPD | Simple (SES) | Timestamp, ID sesión, versión do texto |

Esta segmentación permite optimizar os custos garantindo unha cobertura xurídica proporcional ao risco.

Formar os equipos ao valor probatorio

A pista de auditoría só ten valor se os equipos saben como producila en caso de necesidade. Os responsables de legal e compliance deben ser formados en:

• Descargar e interpretar un informe de pista de auditoría
• Verificar a integridade criptográfica dun documento mediante unha ferramenta de validación (ex: validación eIDAS via portal EC)
• Preparar o expediente probatorio para un procedemento xurisdicional ou arbitral

As direccións de RH, que xestiona volumes importantes de contratos de traballo e emendas, constitúen un obxectivo prioritario de formación. A nosa guía sobre a sinatura electrónica para RH detalla as especificidades sectoriais.

Auditar regularmente o teu provedor

O teu fornecedor de sinatura electrónica é o teu subcontratista no sentido do RGPD (art. 28). Por isto, tes o dereito — e a obriga — de verificar que respecta os seus compromesos contractuais en materia de conservación e seguridade das pistas de auditoría. Os elementos a controlar anualmente:

• Certificación ISO 27001 e/ou cualificación ANSSI do PSCo
• Política de retención de datos e localización dos servidores (UE obrigatorio para datos personais)
• Plan de continuidade e recuperación de actividade (PCA/PRA) garantindo acceso ás pistas de auditoría en caso de incidente
• Resultados das probas de penetración (pentest) e informes de auditoría SOC 2 Type II

Se actualmente estás utilizando unha solución que xa non responde a estas exixencias, a nosa oferta de migración cara Certyneo permite unha transferencia sen ruptura dos teus arquivos e pistas de auditoría existentes.

Marco legal aplicable á pista de auditoría da sinatura electrónica

Textos fundadores europeos

O regulamento eIDAS n°910/2014 (Electronic IDentification, Authentication and trust Services) constitúe o zócalo regulatorio da sinatura electrónica en Europa. O seu artigo 25 §2 establece que a sinatura electrónica cualificada ten efecto xurídico equivalente a unha sinatura manuscrita, creando unha presunción de fiabilidade que se aplica directamente á pista de auditoría que a acompaña. O artigo 41 do mesmo regulamento define os efectos xurídicos do datacado cualificado: ten presunción de exactitude da data e da hora e de integridade dos datos aos que esta data e hora están ligados.

A revisión eIDAS 2.0 (regulamento UE 2024/1183, aplicábel progresivamente ata 2026) refuerza estas exixencias introducindo o Caixafuerte Europea de Identidade Dixital (EUDIW) e estendendo as obrigas de rexistro aos provedores de servizos de identidade dixital.

Dereito nacional francés

En dereito francés, os artigos 1366 e 1367 do Código Civil transpoñen os principios eIDAS. O artigo 1366 establece a equivalencia funcional entre escrito electrónico e escrito papel, sempre que sexa garantida a identificación do autor e a integridade. O artigo 1367 crea a presunción de fiabilidade para as sinaturas cualificadas, directamente aplicábel á pista de auditoría.

O decreto n°2017-1416 de 28 de setembro de 2017 relativo á sinatura electrónica precisa as condicións técnicas de implementación, remetendo ás normas ETSI como marco técnico opoñible.

Normas ETSI aplicábeis

• ETSI EN 319 132 (XAdES) e ETSI EN 319 122 (CAdES): formatos de sinatura avanzada con datos probatorios a longo prazo
• ETSI EN 319 401: política xeral para provedores de servizos de confianza
• ETSI EN 319 421: política e exixencias de seguridade para TSA
• ETSI TS 119 511: exixencias para servizos de preservación de sinaturas

RGPD e protección de datos na pista de auditoría

A pista de auditoría contén datos de carácter persoal no sentido do RGPD n°2016/679 (dirección IP, correo electrónico, datos de xeolocalización). Por isto, a súa conservación está sometida ao principio de minimización (art. 5 §1 c) e á limitación de finalidades (art. 5 §1 b). A duración da conservación debe estar documentada no rexistro de tratamento (art. 30) e non pode exceder o que sexa necesario para a finalidade probatoria.

En caso de violación de datos que afecte pistas de auditoría, a notificación á CNIL nos 72 horas é obrigatoria (art. 33). A directiva NIS2 (directiva UE 2022/2555, transposta en Francia pola lei n°2024-449) impón además aos operadores de importancia vital e ás entidades esenciais exixencias reforzadas de rexistro e detección de incidentes, o que inclúe a segurización das pistas de auditoría das súas ferramentas de sinatura electrónica.

Escenarios de uso concretos da pista de auditoría

Escenario 1: Un bufete de avogados especializado en operacións de transmisión de participacións sociais

Un bufete de avogados de uns quince colaboradores especializado en dereito societario trata aproximadamente 80 operacións de transmisión de participacións sociais ou accións ao ano, implicando cada unha de 3 a 8 sinatarios distribuídos en varios países europeos. Antes da implementación dunha solución de sinatura cualificada con pista de auditoría integrada, cada operación requería idas e vindas postais, legalizacións consulares e coordinación manual cronófaga representando en media 4 horas de avogado asistente por dossier.

Despois de despregamento dunha solución QES con pista de auditoría cualificada (datacado ETSI EN 319 421, arquivo PDF/A-3 nun caixafuerte NF Z42-020), o bufete observou unha redución de 65% dos prazos de peche nestas operacións (pasando de 12 días naturais en media a 4 días). Nun litigio relativo á contestación dunha transmisión por un cesionario, a pista de auditoría producida ante o Tribunal de Comercio permitiu establecer sen contestación posible que o sinatario had aberto o documento durante 7 minutos 43 segundos, visualizou as 18 páxinas e clicou na zona de sinatura despois de validación OTP no seu teléfono rexistrado. A demanda de nulidade foi rexeitada en primeira instancia.

Escenario 2: Unha PEME industrial desmaterializando os seus contratos con provedores

Unha PEME industrial duns cen traballadores xestionando aproximadamente 350 contratos con provedores e subcontratistas ao ano enfrontábase a un problema clásico: contratos asinados por correo electrónico (simple transferencia de PDF escaneado), sen datacado nin pista de auditoría estruturada. Durante un exame dos seus auditores de contas, fulle sinalado que esta práctica non lle permitía xustificar os compromesos contractuais en caso de control fiscal ou litigio comercial.

A migración cara a unha plataforma SaaS de sinatura electrónica avanzada (AES) con xeración automática de pistas de auditoría permitiu:

• Reducir en 80% o tempo de tratamento dos contratos con provedores (de 5 días a 1 día hábil en media)
• Constituír unha base probatoria completa, integrada directamente no ERP via webhook API
• Pasar o exame dos auditores de contas sen reserva sobre a xestión documental
• Recuperar 3 litigios con provedores en 18 meses grazas ás pistas de auditoría producidas como pezas xustificativas

O custo total da solución (subscrición SaaS + formación) foi amortizado en menos de 4 meses atendendo aos ganhos de produtividade medidos. Para calcular o teu propio retorno de inversión, utiliza o noso calculador ROI sinatura electrónica.

Escenario 3: Un agrupamento hospitalario xestionando os consentimientos informados de pacientes

Un agrupamento hospitalario duns 600 leitos debía xestionar a desmaterializacion dos formularios de consentimiento informado para actos cirúrxicos e ensaios clínicos, nun contexto regulatorio particularmente esixente (Código de Sanidade Pública, regulación sobre ensaios clínicos, RGPD datos de sanidade). O reto: probar irrefutablemente que un paciente foi informado e consentiu libremente, sen presión temporal, antes dunha intervención.

A implementación dunha solución de sinatura con pista de auditoría enriquecida (incluindo a duración da consulta do documento, o número de retornos cara atrás na lectura, a verificación de identidade por documento de identidade dixital) permitiu responder ás exixencias da Comisión Nacional dos Ensaios Clínicos e aos exames da ANSM (Axencia Nacional de Seguridade do Medicamento). As pistas de auditoría son conservadas 30 anos, conforme ás exixencias regulatorias aplicábeis aos expedientes médicos, nun caixafuerte dixital certificado HDS (Aloxador de Datos de Sanidade). Para as especificidades da sinatura electrónica no sector médico, consulta a nosa páxina dedicada á sinatura electrónica na sanidade.

Conclusión

A pista de auditoría non é un accesorio técnico da sinatura electrónica: é a súa columna vertebral xurídica. En 2026, nun contexto de intensificación dos litigios dixitais e de reforzamento das exixencias regulatorias (eIDAS 2.0, NIS2, RGPD), dispoñer dunha pista de auditoría completa, datacada, criptograficamente íntegra e conservada segundo as normas ETSI converteuse nunha obriga de feito para calquera organización que asine electronicamente actos con alcance xurídico.

Os retos son claros: valor probatorio ante os tribunais, conformidade regulatoria sectorial, protección contra o fraude e a contestación abusiva. Escoller un provedor cualificado, configurar os niveis de sinatura segundo os riscos e formar os teus equipos son os tres pilares dunha estratexia de pista de auditoría eficaz.

Certyneo integra nativamente pistas de auditoría cualificadas en cada workflow de sinatura, con arquivo a longo prazo e exportación via API. Comeza o teu ensaio gratuíto en Certyneo e asegura o valor probatorio das túas sinaturas electrónicas hoxe mesmo.